NoTrace Security Forum

NoTrace Security Forum
Home | Discussioni Attive | Discussioni Recenti | Segnalibro | Msg privati | Utenti | Download | cerca | faq | RSS | Security Chat
Nome Utente:
Password:
Salva Password
Password Dimenticata?

 Tutti i Forum
 Security
 FireWall e Protezioni
 sospetto trojan
 Forum Bloccato
 Versione Stampabile Bookmark this Topic Aggiungi Segnalibro
I seguenti utenti stanno leggendo questo Forum Qui c'è:
Autore Discussione Precedente Discussione Discussione Successiva  

zookye
New Member



21 Messaggi


Inserito il - 13/08/2003 : 22:27:00  Mostra Profilo
Salve a tutti, ho fatto l'iscrizione a questo forum qualche giorno fa e spero che qualcuno possa aiutarmi. Qualche giorno fa, entrando in rete, mi è apparso all'improvviso un messaggio che mi chiedeva di salvare i lavori in atto perchè il sistema " sta per essere arrestato da NT AUTHORITY/SYSTEM" e nel giro di pochi secondi Explorer si è chiuso e il pc si è riavviato da solo. Riaccendo e succede la stessa cosa, a questo punto, avendo PC Cillin 2002 provvisto di firewall (sempre tenuto inattivo senza mai avere avuto problemi) l'ho attivato e ho rilevato una costante attività di attacchi al mio sistema (NetBios Browsing) praticamente ogni minuto. Ho scaricato e installato da download.net un programma ad hoc (almeno credo) Anti- Trojan 5.5 che mi da come messaggio finale l'assoluta mancanza di trojan sul mio sistema ma nello stesso momento mi rileva sulla porta 5000 "possibili trojan. Sockets de Troie, blazer 5". Il mio antivirus sempre aggiornatissimo non ha mai rilevato niente. Ieri ho fatto una scansione online e mi è stato rilevato un virus di sistema che è stato disinfettato. Cosa mi consigliate? Devo formattare? Grazie per l'attenzione. Zookye.

S3ntry
Average Member



84 Messaggi

Inserito il - 13/08/2003 : 23:46:14  Mostra Profilo
Il tuo S.O. è proprio NT o altro ?
Sì qualcuno si è divertito alle tue spalle con questo messaggio di errore fasullo !
Non occorre riformattare l'HD, perchè da quanto stai dicendo nel tuo pc alloggia o
alloggiava un trojan ( se si tratta proprio
di "Socket de Troie" allora è una vecchia
backdoor - un elenco completo e sempre aggiornato è su [www].TLSECURITY[.com] ) -
I trojan NON SONO VIRUS ! ( almeno alla data
di oggi non sono presenti in rete trojans
con funzioni tipiche del virus - e per fortuna ! ) quindi i tuoi files di sistema
sono fuori pericolo.
Se il tuo AV ha rimosso la bacdoor è meglio accertarsi che non siano presenti sul sistema
degli altri trojans !
Controlla se ci sono demoni in ascolto all'avvio di WIN e prima di collegarti in rete ( controlla un po' con NETSTAT -AN o con tool specifici di rilevazione traffico porte TCP-IP ).
Inoltre controlla che nelle chiavi RUN - RUN ONCE di HKEY_LOCAL__MACHINE e successive non siano presenti eseguibili di origine sospetta,
controlla WIN.INI, SYSTEM.INI ( se li hai nel S.O. ) le rispettive righe di esecuzione automatica.
Controlla la cartella "esecuzione automatica"
di WIN.
Controlla ulteriormente nei Tasks attivi
e ancora meglio controlla in dettaglio tutti
i processi attivi del sistema ( ci sono tool
specifici ).
Vedi che in "Microsoft System Information",
"Hook di sistema", ( se hai WIN 95/98 ) non sia presente il nome di qualche eseguibile ( se sì, cercalo e cancellalo perchè potrebbe essere un keylogger in esecuzione o il keylogger di qualche trojan ancora attivo ! )
Non per essere paranoici ;->,
ma è possibile che il LAMER, prima di mandarti quel FAKE MESSAGE, si sia preso un po' di tempo per facilitarsi la strada di ingresso in un secondo tempo.
Dovresti quindi controllare l'autenticità dei files di sistema ( sopratutto quelli relativi al protocollo TCP-IP: netstat.exe,
ping.exe, i socket, ecc. ecc. )
Fammi sapere il seguito !
Ciao !


Torna all'inizio della Pagina

zookye
New Member



21 Messaggi

Inserito il - 13/08/2003 : 23:52:33  Mostra Profilo
Grazie per la risposta, mi hai in parte tranquillizato però resta il fatto che dopo l'apparire di questo msg il pc si spegne e riparte (a proposito: il mio S.O. è win/xp, scusa per non averlo detto prima..)e in ogni caso io sono completamente a digiuno per quanto riguarda la materia e non so proprio che pesci pigliare se non, appunto, formattare la mia partizione e reinstallare (sic!) tutto daccapo. Grazie ancora, ciao.

Torna all'inizio della Pagina

S3ntry
Average Member



84 Messaggi

Inserito il - 14/08/2003 : 00:14:08  Mostra Profilo
Se questo ti fa sentire più sicuro allora
puoi riformattare pure.
Sarebbe cmq interessante sapere quando di preciso appaiono questi messaggi e se, dall'aspetto sono simili o uguali ad altri messaggi che il sistema ogni tanto mostra.
Ti dico per inciso che non sono affatto un esperto di XP ( a dire il vero è un sistema che non mi piace )
Non è escluso che si tratti di una specie di corto circuito ( per dirla alla buona ) del firewall che interpreta male un'azione del sistema XP ( che comunque si fonda sulla piattaforma NT ).
Prova comunque a ricordare se hai scaricato qualche allegato eseguibile di recente
( intendo *[.com], *.EXE, .... ma ANCHE *.SCR, cioè "screen saver" )
ALLA PROSSIMA E .... BUONA RIFORMATTAZIONE


Torna all'inizio della Pagina

zookye
New Member



21 Messaggi

Inserito il - 14/08/2003 : 00:25:29  Mostra Profilo
Non ho scaricato niente di sospetto, i msg appaiono nel giro di pochi minuti quando io provo a stare connesso senza attivare il firewall... cmq grazie per l'aiuto, a presto.Ciao

Torna all'inizio della Pagina

S3ntry
Average Member



84 Messaggi

Inserito il - 14/08/2003 : 00:27:40  Mostra Profilo
Se vuoi puoi cmq aspettare anche il parere di qualche altro member del sito, magari
più esperto in fatto di piattaforme NT e S.O. XP !

Torna all'inizio della Pagina

Syrio
Advanced Member


Città: Taranto


462 Messaggi

Inserito il - 14/08/2003 : 01:31:57  Mostra Profilo
E se il tuo problema fosse lo stesso di quello in questo post????
htt*://[www].notrace.it/Forum2/topic.asp?TOPIC_ID=1217&FORUM_ID=16&CAT_ID=8&Topic_Title=NT+AUTHORITY%2FSYSTEM+%28HEEEELP%21%21%21%21%21%29&Forum_Title=Ms%2DDos%2FWindows

ciao

Syrio
Torna all'inizio della Pagina

S3ntry
Average Member



84 Messaggi

Inserito il - 14/08/2003 : 12:37:20  Mostra Profilo
I "sintomi" sembrano proprio gli stessi:
trattasi di "worm" ! -


Torna all'inizio della Pagina

zookye
New Member



21 Messaggi

Inserito il - 14/08/2003 : 18:29:58  Mostra Profilo
E' proprio il worm di cui sopra, grazie per l'aiuto... Grazie S3ntry, grazie Syrio, mi metto all'opera per togliere di mezzo l'intruso e vi faccio sapere. Ancora grazie.

Torna all'inizio della Pagina

S3ntry
Average Member



84 Messaggi

Inserito il - 14/08/2003 : 23:26:47  Mostra Profilo
.....e grazie anche a GIMLI per la
spiegazione dettagliata !

Torna all'inizio della Pagina

Gimli
Moderatore


Città: Belluno


1870 Messaggi

Inserito il - 15/08/2003 : 11:01:28  Mostra Profilo
Avrei dovuto segnalarlo appena ho visto l'advisory, ma ho sottovalutato il problema.
Effettivamente non ho collegato subito il crash di RPC con il worm, credo sia un effetto collaterale dell'exploit sfruttato da "bacarozzo" per diffondersi.
Le istruzioni dettagliate le hanno fornite Omega e Trunks, a me il worm interessa come curiosità, dato che non uso windows per navigare.
Ciao

Gimli

Edited by - Gimli on 15/08/2003 11:02:54
Torna all'inizio della Pagina

Jenzo
Starting Member

Città: bho


1 Messaggi

Inserito il - 16/08/2003 : 17:16:55  Mostra Profilo
Anche io ho il tuo stesso problema per eliminarlo elimina il file teekids in system32 fammi sapere

Vincenzo Falcone
Torna all'inizio della Pagina

zookye
New Member



21 Messaggi

Inserito il - 16/08/2003 : 17:55:04  Mostra Profilo
Ciao Jenzo, io ho seguito le istruzioni relative al link segnalato da Omega: htt*://home.datacomm.ch/winzozz/blaster.htm
ho installato la patch e dopo ho eliminato il worm scaricando il Tools Symantec. Ho risolto (almeno per ora). Questo forum è mitico.


Torna all'inizio della Pagina
  Discussione Precedente Discussione Discussione Successiva  

 Forum Bloccato
 Versione Stampabile Bookmark this Topic Aggiungi Segnalibro
Vai a:
NoTrace Security Forum
© Nazzareno Schettino
RSS NEWS
Torna all'inizio della Pagina
Pagina generata in 0,25 secondi. TargatoNA | SuperDeeJay | Snitz Forums 2000