| Autore |
 Discussione  |
|
Shark
Starting Member
1 Messaggi |
Inserito il - 12/08/2003 : 10:14:58
|
Un Grazie anticipiato a tutti quelli che mi daranno 1 mano.
Da ieri compare la finestrella che vedete nell'immagine qui sotto,
NT AUTHORITY/SYSTEM, molto fastidiosa xkè dopo un conto alla rovescia,
chiude tutte le applicazioni e riavvia il sistema, senza salvare
nemmeno ciò che si stava facendo fino a quel momento, ciò mi crea molto fastidio
oltre che qualche timore, visto che cosi il mio pc è praticamente inutilizzabile.
Premetto che questo problema fino adesso si è verificato a computer connesso
attraverso ADSL Alice, ho pure provveduto al canonico formattone della partizione
in cui vi è il S.O. (C:) e quando succede il pc non si spegne + da solo ma devo resettarlo, adesso vi chiedo:
1) Sarebbe meglio dare una formattata anche
all' altra partizione forse qualche cosa si annida li) che normalmente uso come "deposito"?
2) Qualcuno è a conoscenza di cosa sia sto problema NT AUTHORITY/SYSTEM,
se è grave, e come porvi rimedio?
S.O. Win Xp Pro
Grazie ancora a chi mi darà una mano!!!
ecco cosa mi appare
_____________________________________
Il sistema sta per essere arrestato.
salvare tutto il lavoro in corso e chiudere la sessione. Tutte le modifiche salvate andranno perse. L' arresto è stato iniziato da NT AUTHORITY/SYSTEM
Tempo rimasto prima dell'arresto: 00:00:40
Messaggio:
E' Necessario riavviare Windows Perchè il servizio RPC (Remote Procedure Call) è terminato in modo imprevisto
|
|
|
Gimli
Moderatore
.jpg)
Città: Belluno
1870 Messaggi |
Inserito il - 12/08/2003 : 16:55:29
|
Probabilmente è l'effetto del worm blaster, sembra stia andando forte in questi giorni.
Riporto integralmente l'advisory passata su bugtraq:
From: Dave Ahmad securityfocus[.com]>
To: bugtraq securityfocus[.com]
Subject: DCOM worm analysis report: W32.Blaster.Worm
Date: Mon, 11 Aug 2003 15:36:24 -0600 (MDT)
A Bugtraq user has already pointed out that a worm has been
discovered in the wild that exploits the Microsoft Windows DCOM RPC
Interface Buffer Overrun Vulnerability (Bugtraq ID 8205) to infect
host systems. Symantec has been tracking its activity and is
currently conducting analysis/full disassembly of the malicious code,
which has been named "Blaster". The results of our analysis are
being made available to the public at the following location:
htt*s://tms.symantec[.com]/members/AnalystReports/030811-Alert-DCOMworm.pdf
It is expected that this report will be updated frequently as more
information is discovered. Readers are advised to download/refresh
it throughout the day to ensure that any new information is not missed.
David Mirza Ahmad
Symantec
PGP: 0x26005712
8D 9A B1 33 82 3D B3 D0 40 EB AB F0 1E 67 C6 1A 26 00 57 12
--
The battle for the past is for the future.
We must be the winners of the memory war.
Ciao
Gimli |
 |
|
|
Trunks
Moderatore
2016 Messaggi |
Inserito il - 12/08/2003 : 23:27:23
|
Come sempre Gimli ha ragione ;)
occole la soluzione :P
htt*://[www].ilsoftware.it/articoli.asp?ID=1519
server admin opensirio.homeip.net:8888
op3n n3twork |
|
|
|
Gimli
Moderatore
Città: Belluno
1870 Messaggi |
Inserito il - 12/08/2003 : 23:36:12
|
quote:
Come sempre Gimli ha ragione ;)
Solo un caso, ho collegato la mail di bugtraq con un post su i.c.o.l.iniziare che riportava un caso identico.
quote:
occole la soluzione :P
htt*://[www].ilsoftware.it/articoli.asp?ID=1519
Cito dalla pagina:
Chi non ha installato la patch risolutiva Microsoft MS03-026 ma ha avuto l'accortezza di installare un buon software firewall (ad esempio, Outpost Firewall), si sarà certamente accorto di tentativi di connessione sulla porta UDP:69.
Chi è causa del suo mal pianga se stesso
C'è ancora qualcuno che sostiene che un firewall su un pc non serve a nulla?
Ciao
Gimli |
|
|
|
mizio320
Average Member
Città: napoli
87 Messaggi |
Inserito il - 13/08/2003 : 01:47:57
|
Salve! vorrei installare la pathc MS03-026 ,ma nel sito della microsoft ci sn 2 versioni del win xp; 32 e 64 bit edition.
Io quale devo installare?
Il mio s.o è win xp prof.
Ciao e grazie!
|
|
|
|
Trunks
Moderatore
2016 Messaggi |
Inserito il - 13/08/2003 : 02:38:12
|
eh eh magari a 64 (anke se esiste :P)scaricati quella a 32 ;)
ciao
server admin opensirio.homeip.net:8888
op3n n3twork |
|
|
|
mizio320
Average Member
Città: napoli
87 Messaggi |
Inserito il - 13/08/2003 : 03:00:39
|
Ok grazie trunks, allora scariko quelle da 32 bit!
Mi sapresti dire un'altra cosa?
Sto scaricando varie pathc, ma quasi tutte sn in inglese... posso scaricarle oppure è meglio ke mi sto fermo?
Ciao e grazie!
|
|
|
|
gibi
Moderatore
Città: N.D.
2107 Messaggi |
Inserito il - 13/08/2003 : 09:34:27
|
Stai fermo!!! Di tutte le patch che stai scaricando esiste anche la versione italiana (ovvero quella che devi scaricare se il tuo SO è ITA). Prima di far partire il DL solitamente sulla pagina della patch in alto a DX c'è la possibilità di scegliere anche la lingua della patch. Ciao!
gibi
|
|
|
|
Ohm
Moderatore
Città: Nazza lo sa...
810 Messaggi |
Inserito il - 14/08/2003 : 03:13:35
|
Se vuoi sapere di + su questo virus, sulle patch o su come toglierlo manualmente visita questo sito:
htt ://home.datacomm.ch/winzozz/blaster.htm
Ciao
=Omega=============
"Hands On"
[www].notrace.it
[www].mofcrew.org
=================== |
|
|
|
Lee
Starting Member
6 Messaggi |
Inserito il - 14/08/2003 : 20:22:37
|
quote:
Un Grazie anticipiato a tutti quelli che mi daranno 1 mano.
Da ieri compare la finestrella che vedete nell'immagine qui sotto,
NT AUTHORITY/SYSTEM, molto fastidiosa xkè dopo un conto alla rovescia,
chiude tutte le applicazioni e riavvia il sistema, senza salvare
nemmeno ciò che si stava facendo fino a quel momento, ciò mi crea molto fastidio
oltre che qualche timore, visto che cosi il mio pc è praticamente inutilizzabile.
Premetto che questo problema fino adesso si è verificato a computer connesso
attraverso ADSL Alice, ho pure provveduto al canonico formattone della partizione
in cui vi è il S.O. (C:) e quando succede il pc non si spegne + da solo ma devo resettarlo, adesso vi chiedo:
1) Sarebbe meglio dare una formattata anche
all' altra partizione forse qualche cosa si annida li) che normalmente uso come "deposito"?
2) Qualcuno è a conoscenza di cosa sia sto problema NT AUTHORITY/SYSTEM,
se è grave, e come porvi rimedio?
S.O. Win Xp Pro
Grazie ancora a chi mi darà una mano!!!
ecco cosa mi appare
_____________________________________
Il sistema sta per essere arrestato.
salvare tutto il lavoro in corso e chiudere la sessione. Tutte le modifiche salvate andranno perse. L' arresto è stato iniziato da NT AUTHORITY/SYSTEM
Tempo rimasto prima dell'arresto: 00:00:40
Messaggio:
E' Necessario riavviare Windows Perchè il servizio RPC (Remote Procedure Call) è terminato in modo imprevisto
_____________________________________
HEEEEEEEEEEEEEEELPPPPPPPPPPPPPPPPPPPP!!!!!
|
|
|
|
Lee
Starting Member
6 Messaggi |
Inserito il - 14/08/2003 : 20:27:25
|
Sei riuscito a risolvere il problema?
Io l'ho avuto uguale,ma la connessione di alice,che ho anch'io non c'entra nulla.
Io ho risolto andando nel registro di configurazione,con il comando trova ho cercato NT Authority System,l'ho semplicemente rinominato NT Authority system1,e vedo che ora il problema è scomaprso,anche se incrocio le dita,i pc sono sempre macchine infernali!!!Potrei anche azzardare a eliminare la stringa,ma se non mi dà più problemi lascio così come si trova.Fammi sapere.Lee.
|
|
|
|
Lee
Starting Member
6 Messaggi |
Inserito il - 14/08/2003 : 22:52:26
|
Ho appena scoperto un sito interessante a proposito:htt*://[www].symbolic.it/Rassegna/lovsan.html,parla proprio del problema da te descritto,a quanto pare è un virus[.com]unque è stato sufficiente rinominare come ti ho detto prima per risolvere il problema,poi ho anche eliminato il file incriminato di questo problema:msblast.exe presente in C_Windows_System32.Fammi sapere.Lee.
|
|
|
|
Gimli
Moderatore
Città: Belluno
1870 Messaggi |
Inserito il - 15/08/2003 : 10:18:38
|
Io ti direi di seguire i link postati sopra per rimuoverlo completamente, sennò il tuo pc contiuerà ad infettare altre macchine in rete. Rimuovere il file non basta, occorre cancellare la voce relativa nel registro, il tutto dopo aver stoppato il programma dal task manager.
Chiaramente il tutto va fatto offline, sennò te lo ribecchi subito. Poi metti un firewall e installa le patch.
Ciao
P.S.
Con il firewall occorre bloccare TUTTE le porte in ingresso: se la macchina che usi è un normale pc lo puoi fare senza problemi, se invece è un server chiudere le porte implica l'interruzione dei servizi. L'unico rimedio sicuro contro l'infezione resta l'applicazione della patch.
Gimli
Edited by - Gimli on 15/08/2003 10:54:18 |
|
|
|
Lee
Starting Member
6 Messaggi |
Inserito il - 15/08/2003 : 11:45:02
|
Nel suggeire l'indirizzo sono stato un po' conciso!Comunque all'indirizzo indicato è presente un link al sito Microsoft dove scaricare la patch da installare.Cosa che ho fatto anch'io.Inoltre ho rimosso dal regedit le stinghe NT Authority System e msblast.exe che in un primo momento avevo solo rinominato,per essere certo di non combinare guai ulteriori,quando ho visto che il pc funzionava correttamente le ho cancellate.
|
|
|
|
^Rose^
Starting Member
Città: Brescia
1 Messaggi |
Inserito il - 17/08/2003 : 09:56:09
|
Ciao Shark... ho avuto la bella sorpresa ieri quando sono rientrata dalla ferie... conto alla rovescia e (incazzatura :)) cmq io ho risolto in questo modo... ho riavviato in modalita' provvisoria.. ho cercato il file msblast.exe l'ho cancellato... poi vai in guida in linea supporto tecnico... attiva/disattiva firewall... connessione di rete... cambia/modifica e attivi il firewall... beh non è piu' apparso il conto alla rovescia.. anche se tu hai gia' formattato se qualcuno legge puo' farlo... deduco che anche avendo altri firewall il maledetto non parta piu'... ciauu...
|
|
|
|
Gimli
Moderatore
Città: Belluno
1870 Messaggi |
Inserito il - 17/08/2003 : 11:15:25
|
Ripeto consigli: seguire le istruzioni per la rimozione completa (non basta rimuovere il file .exe) e magari installare un firewall di terze parti (es. Sygate, Outpost, Zone Alarm, etc.).
Se installi il firewall senza rimuovere la bestia il tuo pc non andrà più in crash, ma continuerà ad infettarne altri!
Ciao
Gimli |
|
|
|
Discussione |
|
NT authority/system help!
Forum Bloccato
