PDA

Visualizza versione completa : problema grave sicurezza: aiuto


evolve3.0
28-04-2004, 20.05.12
Ciao a tutti, ho questo problema e non riesco a venirne fuori :
Il mio pc ha 3 hd , il primo per sistema operativo gli altri 2 per sdalvataggio dati.
Formatto solo il primo, metto su winXp, cover xp pro, mirc ,driver audio e video,modem adsl esterno, mi connetto......virus!!!!! Non so bene quale perchè non ancora caricato l'antivirus (mcaffee), cmq blaster o welchia perchè mi dava il remote procedure calll e spegneva il pc.
La pagine di connessione era yahoo quindi non viene da li. Da dove??
Sicuramente da uno dei 2 hrd disk , uno di quei programmi installati.
Riformatto,stacco i 2 hd e tutto sembra ok, carico antivirus Nod32,aggiorno riavvio riattcacco hd.....scansione non trova NIENTE!! poco dopo , su internet, Virus!! Il Nachi.b/worm ,sempre su svchoost.exee wkspatch mi armo di pazienza e con il tool di rimozione Welchia scansiono in provvisoria disabilitando antivirus e ripristino ...Non trova niente!!! ma come???
riavvio e su internet ancora nod trova il nachi e non riesce a eliminare, uso ad-aware e trova una chiave di registro alexia, rimuove ma non cambia niente....uso zone alarm e appena mi collego dice che svchoost.exe vuole collegarsi a internet..???
Aiuto, non sono un neofita del pc ma adesso proprio non capisco.....

p.s: Ho controllato anche la stringa di registro con wkspatch ma non esiste

AIUTO VI PREGO

Giorgius
29-04-2004, 00.47.34
Devi installare WinXP Sp1 tralasciando le patch On-Line dal Sito Microzozzo ;)

evolve3.0
29-04-2004, 01.46.29
ok,ma non so da dove arriva.
anzi ho appena formattato per l'ennesima volta, carico il norton 2004 professional , collegamento internet ,aggiorno e appena finito sulla pagina di iol mi esce generic host processing rmote...e si spegne dopo 60 secondi.
penso blaster, ma da dove?? non ho installato praticamente nulla, da dove può arrivare?? proprio non capisco.
provvisoria, scansione ...niente!!!! aiuto , voglio capire da dove sbaglio.
La posta inoltre è sul sito di iol,quindi non è da li che si inserisce il virus

Giorgius
29-04-2004, 02.03.35
Microzozz (vecchio indirizzo di Windows Update) ;)

Non sono mai riusciti ad eliminarlo completamente dal loro Server.

Non apppena dai conferma della avvenuta registrazione della tua Licenza, ti becchi dal Server MS il Virus...

WinXP Sp1(a) riceve gli aggiornamenti da un'altro indirizzo MS.

Tool di rimozione ufficiale MS:
http://www.microsoft.com/downloads/details.aspx?displaylang=it&FamilyID=e70a0d8b-fe98-493f-ad76-bf673a38b4cf

evolve3.0
29-04-2004, 02.04.31
mi ha appena rilevato in automatico il welchia.b.worm , ha eliminato il file ,sono andato in provvisoria e ho lanciato l'apposito tool...non ha trovato niente!! ho disattivato il restore..niente.

ma più che altro, ero sulla pagina di wintricks prima...da dove l'ho preso questo virus? come h fatto ad infilarsi se il pc è appena formattato?

Giorgius
29-04-2004, 02.11.05
Usa anche l'utility Free "SafeXP" per mettere in sicurezza il tuo Winzozzo XP ;)
http://theorica.webspace4free.biz/safexp.htm
http://theorica.webspace4free.biz/download.htm?PHPSESSID=19f2f54fcf638b2d0ff0c31b1b4 30d1a

evolve3.0
29-04-2004, 09.20.47
quindi ,il virus non viene da uno dei miei 2 dischi fissi , ne il blaster ne il welchia, ma dai server micorsoft

ma che è parte in automatico appena il mio ip è collegato?

l'indirizzo per il safexp non funziona, mi riinvia ad un'altra pagina

Grazie mille per l'aiuto, davvero grazie sono un pò alla frutta con questo problema


..modifica: scusa scusa l'indirizzo funziona

P8257 WebMaster
29-04-2004, 09.23.44
Metti un firewall ..
come prima cosa, prima ancora di installare il sp1, prima di connetterti a internet la prima volta metti un firewall e verifica, se ti viene permesso di impostare un set di regole che le porte 135 e 5000 siano bloccate per tutti i protocolli e per tutte le interfacce di rete.

Ti becchi i virus perché mentre scarichi qualsiasi cosa, anche se non vai in siti particolari, dalla rete ti giungono port scan che rilevano le porte aperte e ti installano da remoto il virus.

Bye :cool:

evolve3.0
29-04-2004, 14.08.33
aiuto, adesso ho controllato il msconfig e mi sono trovato questo:
2 wuamgrd.exe in hklm\software\microsoft\windows\current version\run
e in HKCU\software\microsoft\windows\current version\run
e 2 windates.exe nelle stesse posizioni

Giorgius
29-04-2004, 14.50.27
Questo è un'altro problema o di P2P o Mail ricevuta via Outlook
Presumo che sia una variante Virus di "Agobot"

Info:
http://www.computercops.biz/modules.php?name=Forums&file=viewtopic&p=149819
http://www.google.it/url?sa=U&start=4&q=http://www.sophos.com/virusinfo/analyses/w32agobotgy.html&e=747
http://uk.trendmicro-europe.com/enterprise/security_info/ve_detail.php?Vname=WORM_AGOBOT.GY

Tool di rimozione:
Mcafee Stinger v2.2.2: http://download.nai.com/products/mcafee-avert/stinger.exe


Ma non è che hai niente niente un CD masterizzato di dati o altro, con il Virus beccato in precedenza?

ranmafan
29-04-2004, 17.46.14
Scusa P8257 WebMaster, non trovo la porta 5000. Sarà per caso "500"? Grazie.
Comunque, mio caro evolve3.0 ...BENVENUTO NEL CLUB!!
Anche a me è successa la stessa cosa e ci ho messo parecchio per accettare il fatto che l'attacco era avvenuto durante l'istallazione di Windows. In effetti mi sono reso conto che quello è stato l'unico momento in cui ero "nudo". Certo non è bello istallare tutto da zero su dischi e PC vergine con SOLO programmi originali e trovarsi già impestati:mad: Respira a fondo, conta lentamente fino a cento, dedicati a qualche esercizio di meditazione zen e... porta taaaanta pazienza. Il mio PC stà cominciando a funzionare benino solo ora, dopo 10gg di lavoro bestiale.:p
Tanti auguri e
Nihao!

evolve3.0
29-04-2004, 19.10.47
grazie a tutti, Giorgius il tool non trova nente cmq ho provveduto a rimuovere manualmente.
Adesso dovrei essere a posto.
Però sempre non capisco da dove si infilano....non unso cd ma i prog salvati sugli altri 2 hd...quindi presumo che vengano da li i virus...ma nessun antivirus rileva niente su quegli hd.
Ho provato a non installare nient altro che i driver del modem dai hd secondari, driver video e audio appena scariccati dai siti ufficiali....e mi trovo infestato lo stesso con il pc appena formattato. Ok,adesso è a posto, ma la cosa mi inquieta e non poco.
come faccio a stabilire dove sbaglio?

è possibile che qulacuno abbia il mio indirizzo ip e appena mi collego mi investe?

Ranmafan...ha ragione bisogna respirare a fondo, contare fino a 10 e poi respirare ancora

Lionsquid
29-04-2004, 22.19.57
mi auguro che tu abbia provveduto a turare la falla per il blaster & co.

http://www.grc.com/dcom/

usa il dcombulator... fai prima che a cercare la patch MS...


e poi come già consigliato... FIREWALL


:) ciao

P8257 WebMaster
30-04-2004, 10.22.36
ranmafan ha scritto:
Scusa P8257 WebMaster, non trovo la porta 5000. Sarà per caso "500"? Grazie.

Ci deve essere, però magari nel tuo firewall non è controllabile da te .. le porte di un pc vanno da 0 (0x0) a 65535 (0xffff)

Se hai sygate, ti posto la regola per "coprirla" (anche se le nuove versioni lo fanno in automatico.

Bye :cool:

P8257 WebMaster
30-04-2004, 10.30.44
evolve3.0 ha scritto:
è possibile che qulacuno abbia il mio indirizzo ip e appena mi collego mi investe?



Fanno dei port scan su ip random o sequenziali e se le porte risutalno aperte ed il sistema non è provvisto di firewall o delle patch importanti per proteggersi dalle vulnerabilità come questa, ti installano il virus da remoto.

Bye :cool:

ranmafan
30-04-2004, 14.51.11
Originariamente inviato da P8257 WebMaster


Ci deve essere, però magari nel tuo firewall non è controllabile da te .. le porte di un pc vanno da 0 (0x0) a 65535 (0xffff)

Se hai sygate, ti posto la regola per "coprirla" (anche se le nuove versioni lo fanno in automatico.

Bye :cool:

Purtroppo ho Norton (licenza imposta dall'azienda!) che, oltre a essere il superinvasivo che conosciamo, evidentemente non è neanche tanto personalizzabile. L'unica soluzione che ho trovato è stato scrivere per esteso il nome della porta -anche se non me la fa vedere- e sperare in bene. Pare che funzioni ma non so come verificarlo.

:confused:
Domanda difficile che rivolgo a tutti (mi domando se non sia il caso di aprire una discussione specifica): di tutte queste benedette 65535 porte, quali si possono/devono chiudere? Esiste un elenco che non ho ancora trovato?
Grazie ancora e...
Nihao!

P8257 WebMaster
30-04-2004, 15.12.13
I firewall hanno al loro interno un file di "signature" che aggiornano periodicamente e che contiene un set di regole per i software più conosciuti e comunque di solito i firewall lavorano consentendo le connessioni autorizzate e bloccando il resto .. sono sicuro che Norton abbia già una regola predefinita per la porta 5000, comunque esistono dei database che elencano le porte utilizzate dai software più conosciuti: questo (http://www.pcflank.com/fw_rules_for_app.htm?appid=87) ne è un esempio.

Bye :cool:

ranmafan
30-04-2004, 15.34.50
Grazie P8257 WebMaster. Effettivamente è PIENO di porte!:D
Il guaio è che quando si sente parlare di "porte" uno pensa automaticamente a quelle di casa. Neanche il Colosseo è così bucato.
Comunque Norton ha moltissime regole preistallate e aggiornate regolarmente e tra queste c'è anche la 5000. Ho provato a verificare anche con "a squared" (vedi post di Giorgius "Dialer Eros.exe qualcuno sa come si rimuove.") e tutte le porte trovate sono risultate chiuse. UFF!!! Mi sento meglio. :p
Per chi non avesse capito, sono un po' fanatico di sicurezza. Solo per aprire queste pagine devo cliccare ogni volta 2/3 finestre di avviso di IE. Infatti vengo regolarmente buttato fuori dal forum 1 o 2 volte prima di poter postare qualcosa.
Saluti a tutti e...
Nihao!

evolve3.0
01-05-2004, 12.44.35
NOVITA'!!!!!
Sembrava andare tutto bene...ma poi...ieri sera mi collego e di punto in bianco ogni pagina che voglio visitare diventa vuota , cioè impossibile accedere bla bla...
controllo i processi e trovo uno strano avserve.exe , lo chiudo e tutto torna a posto!!! stamattina stessa cosa!!!!
...respiriamo a fondo....contiamo fino a mille..respiriamo ancora e contiamo ancora.....

metto su zone alarm adesso (va bene?) , devo settare qualcosa di particolare?

ciao e grazie

p.s. : scusate se rompo ma sono alla frutta

evolve3.0
01-05-2004, 12.52.09
trovato il nuovo virus W32.Sasser.Worm!!!! evvai!!!
ma da dove cacchio è entrato...penso seriamente ci sia qualcuno che mi stia tartassando.

a proposito norton professional..niente!!!
L'ho tolto e messo su norton corporate edition , sembra funzioni meglio

e adesso mi si sta riavviano il pc per rpc del file isass.exe....AIUTOOOOOOOOOO!!!

evolve3.0
01-05-2004, 13.10.43
ZONE ALARM mi ha bloccato questo accesso e il whois mi ha dato questo:

% This is the RIPE Whois server.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/ripencc/pub-services/db/copyright.html

inetnum: 80.116.128.0 - 80.116.255.255
netname: TINIT-ADSL-LITE
descr: Telecom Italia
descr: Accesso ADSL BBB
country: IT
admin-c: BS104-RIPE
tech-c: BS104-RIPE
status: ASSIGNED PA
remarks: Please send abuse notification to abuse-bbb@telecomitalia.it
notify: ripe-staff@telecomitalia.it
mnt-by: TIWS-MNT
changed: net_ti@telecomitalia.it 20020801
source: RIPE

route: 80.116.0.0/16
descr: INTERBUSINESS
origin: AS3269
notify: network@cgi.interbusiness.it
mnt-by: INTERB-MNT
changed: net_ti@telecomitalia.it 20020517
source: RIPE

person: BBBEASYIP STAFF
address: Via Val Cannuta, 250
address: I-00100 Roma
address: Italy
phone: +39 06 36881
e-mail: ripe-staff@telecomitalia.it
nic-hdl: BS104-RIPE
notify: ripe-staff@telecomitalia.it
changed: net_ti@telecomitalia.it 20001019
source: RIPE


altri alert sono usciti poi, un altro praticamente identico , poi uno da seoul .
Mi dici ip (dell'attaccante) port 1032, mentre la porta sulla quale è stato bloccato l'accesso è la 137

Tracciando tutti gli attacchi ho scoperto che vengono tutti dal lazio vicino a roma o roma.
Cosa posso fare?

P8257 WebMaster
01-05-2004, 14.13.14
Niente, il firewall li ha bloccati e tu sei protetto.
Molte cose che vengono rilevate come "attacchi" sono in realtà semplici portscan alla ricerca di qualche server remoto per i protocolli più conosciuti ... se hai un firewall ben configurato e un sistema aggiornato, puoi stare tranquillo.

Bye :cool: