| Autore |
 Discussione  |
|
|
zookye
New Member
21 Messaggi |
Inserito il - 13/08/2003 : 22:27:00
|
Salve a tutti, ho fatto l'iscrizione a questo forum qualche giorno fa e spero che qualcuno possa aiutarmi. Qualche giorno fa, entrando in rete, mi è apparso all'improvviso un messaggio che mi chiedeva di salvare i lavori in atto perchè il sistema " sta per essere arrestato da NT AUTHORITY/SYSTEM" e nel giro di pochi secondi Explorer si è chiuso e il pc si è riavviato da solo. Riaccendo e succede la stessa cosa, a questo punto, avendo PC Cillin 2002 provvisto di firewall (sempre tenuto inattivo senza mai avere avuto problemi) l'ho attivato e ho rilevato una costante attività di attacchi al mio sistema (NetBios Browsing) praticamente ogni minuto. Ho scaricato e installato da download.net un programma ad hoc (almeno credo) Anti- Trojan 5.5 che mi da come messaggio finale l'assoluta mancanza di trojan sul mio sistema ma nello stesso momento mi rileva sulla porta 5000 "possibili trojan. Sockets de Troie, blazer 5". Il mio antivirus sempre aggiornatissimo non ha mai rilevato niente. Ieri ho fatto una scansione online e mi è stato rilevato un virus di sistema che è stato disinfettato. Cosa mi consigliate? Devo formattare? Grazie per l'attenzione. Zookye.
|
|
|
S3ntry
Average Member
84 Messaggi |
Inserito il - 13/08/2003 : 23:46:14
|
Il tuo S.O. è proprio NT o altro ?
Sì qualcuno si è divertito alle tue spalle con questo messaggio di errore fasullo !
Non occorre riformattare l'HD, perchè da quanto stai dicendo nel tuo pc alloggia o
alloggiava un trojan ( se si tratta proprio
di "Socket de Troie" allora è una vecchia
backdoor - un elenco completo e sempre aggiornato è su [www].TLSECURITY[.com] ) -
I trojan NON SONO VIRUS ! ( almeno alla data
di oggi non sono presenti in rete trojans
con funzioni tipiche del virus - e per fortuna ! ) quindi i tuoi files di sistema
sono fuori pericolo.
Se il tuo AV ha rimosso la bacdoor è meglio accertarsi che non siano presenti sul sistema
degli altri trojans !
Controlla se ci sono demoni in ascolto all'avvio di WIN e prima di collegarti in rete ( controlla un po' con NETSTAT -AN o con tool specifici di rilevazione traffico porte TCP-IP ).
Inoltre controlla che nelle chiavi RUN - RUN ONCE di HKEY_LOCAL__MACHINE e successive non siano presenti eseguibili di origine sospetta,
controlla WIN.INI, SYSTEM.INI ( se li hai nel S.O. ) le rispettive righe di esecuzione automatica.
Controlla la cartella "esecuzione automatica"
di WIN.
Controlla ulteriormente nei Tasks attivi
e ancora meglio controlla in dettaglio tutti
i processi attivi del sistema ( ci sono tool
specifici ).
Vedi che in "Microsoft System Information",
"Hook di sistema", ( se hai WIN 95/98 ) non sia presente il nome di qualche eseguibile ( se sì, cercalo e cancellalo perchè potrebbe essere un keylogger in esecuzione o il keylogger di qualche trojan ancora attivo ! )
Non per essere paranoici ;->,
ma è possibile che il LAMER, prima di mandarti quel FAKE MESSAGE, si sia preso un po' di tempo per facilitarsi la strada di ingresso in un secondo tempo.
Dovresti quindi controllare l'autenticità dei files di sistema ( sopratutto quelli relativi al protocollo TCP-IP: netstat.exe,
ping.exe, i socket, ecc. ecc. )
Fammi sapere il seguito !
Ciao !
|
 |
|
|
zookye
New Member
21 Messaggi |
Inserito il - 13/08/2003 : 23:52:33
|
Grazie per la risposta, mi hai in parte tranquillizato però resta il fatto che dopo l'apparire di questo msg il pc si spegne e riparte (a proposito: il mio S.O. è win/xp, scusa per non averlo detto prima..)e in ogni caso io sono completamente a digiuno per quanto riguarda la materia e non so proprio che pesci pigliare se non, appunto, formattare la mia partizione e reinstallare (sic!) tutto daccapo. Grazie ancora, ciao.
|
|
|
|
S3ntry
Average Member
84 Messaggi |
Inserito il - 14/08/2003 : 00:14:08
|
Se questo ti fa sentire più sicuro allora
puoi riformattare pure.
Sarebbe cmq interessante sapere quando di preciso appaiono questi messaggi e se, dall'aspetto sono simili o uguali ad altri messaggi che il sistema ogni tanto mostra.
Ti dico per inciso che non sono affatto un esperto di XP ( a dire il vero è un sistema che non mi piace )
Non è escluso che si tratti di una specie di corto circuito ( per dirla alla buona ) del firewall che interpreta male un'azione del sistema XP ( che comunque si fonda sulla piattaforma NT ).
Prova comunque a ricordare se hai scaricato qualche allegato eseguibile di recente
( intendo *[.com], *.EXE, .... ma ANCHE *.SCR, cioè "screen saver" )
ALLA PROSSIMA E .... BUONA RIFORMATTAZIONE
|
|
|
|
zookye
New Member
21 Messaggi |
Inserito il - 14/08/2003 : 00:25:29
|
Non ho scaricato niente di sospetto, i msg appaiono nel giro di pochi minuti quando io provo a stare connesso senza attivare il firewall... cmq grazie per l'aiuto, a presto.Ciao
|
|
|
|
S3ntry
Average Member
84 Messaggi |
Inserito il - 14/08/2003 : 00:27:40
|
Se vuoi puoi cmq aspettare anche il parere di qualche altro member del sito, magari
più esperto in fatto di piattaforme NT e S.O. XP !
|
|
|
|
Syrio
Advanced Member
Città: Taranto
462 Messaggi |
Inserito il - 14/08/2003 : 01:31:57
|
E se il tuo problema fosse lo stesso di quello in questo post????
htt*://[www].notrace.it/Forum2/topic.asp?TOPIC_ID=1217&FORUM_ID=16&CAT_ID=8&Topic_Title=NT+AUTHORITY%2FSYSTEM+%28HEEEELP%21%21%21%21%21%29&Forum_Title=Ms%2DDos%2FWindows
ciao
Syrio |
|
|
|
S3ntry
Average Member
84 Messaggi |
Inserito il - 14/08/2003 : 12:37:20
|
I "sintomi" sembrano proprio gli stessi:
trattasi di "worm" ! -
|
|
|
|
zookye
New Member
21 Messaggi |
Inserito il - 14/08/2003 : 18:29:58
|
E' proprio il worm di cui sopra, grazie per l'aiuto... Grazie S3ntry, grazie Syrio, mi metto all'opera per togliere di mezzo l'intruso e vi faccio sapere. Ancora grazie.
|
|
|
|
S3ntry
Average Member
84 Messaggi |
Inserito il - 14/08/2003 : 23:26:47
|
.....e grazie anche a GIMLI per la
spiegazione dettagliata !
|
|
|
|
Gimli
Moderatore
.jpg)
Città: Belluno
1870 Messaggi |
Inserito il - 15/08/2003 : 11:01:28
|
Avrei dovuto segnalarlo appena ho visto l'advisory, ma ho sottovalutato il problema.
Effettivamente non ho collegato subito il crash di RPC con il worm, credo sia un effetto collaterale dell'exploit sfruttato da "bacarozzo" per diffondersi.
Le istruzioni dettagliate le hanno fornite Omega e Trunks, a me il worm interessa come curiosità, dato che non uso windows per navigare.
Ciao
Gimli
Edited by - Gimli on 15/08/2003 11:02:54 |
|
|
|
Jenzo
Starting Member
Città: bho
1 Messaggi |
Inserito il - 16/08/2003 : 17:16:55
|
Anche io ho il tuo stesso problema per eliminarlo elimina il file teekids in system32 fammi sapere
Vincenzo Falcone |
|
|
|
zookye
New Member
21 Messaggi |
Inserito il - 16/08/2003 : 17:55:04
|
Ciao Jenzo, io ho seguito le istruzioni relative al link segnalato da Omega: htt*://home.datacomm.ch/winzozz/blaster.htm
ho installato la patch e dopo ho eliminato il worm scaricando il Tools Symantec. Ho risolto (almeno per ora). Questo forum è mitico.
|
|
|
| |
Discussione |
|
sospetto trojan
Forum Bloccato
